Le ransomware Hunters International qui apparaît à la fin de l’année 2023 annonce sa fin programmée en ce début juillet 2025. L’ensemble des malversations est désormais fermé. Le Ransomware-as-a-Service « offre » à toute entreprise concernée les outils nécessaires pour déchiffrer. Sur le site de fuite, plus aucune victime n’est affichée, car « en signe de bonne volonté et afin d’aider les personnes touchées par nos activités passées, nous offrons gratuitement un logiciel de déchiffrement à toutes les entreprises qui ont été victimes de notre ransomware ».

L’enseigne héritière du ransomware Hive baisse le rideau, explique LeMagIT. Ce choix serait en rapport avec les opérations de Police : End Game, Magnus et Morpheus. Mais également la rentabilité de ces opérations, avancent-ils. C’est l’occasion de se pencher sur ce groupe de cybercriminels, qui en moins de deux années, font couler beaucoup d’encre, et potentiellement des entreprises.

Le rideau est baissé

Bien que l’annonce du 17 novembre 2024 indiquant que Hunters International fermerait bientôt, en raison d’une surveillance accrue et d’une baisse de la rentabilité, Group-IB l’avait anticipé en avril. Les anciens opérateurs du ransomware Hive pourraient être impliqués dans l’administration de Hunters International. Car des similitudes du code source sont observées par différents chercheurs.

Au total 307 victimes déclarées et affichées, dont certaines notables telles Finance ICBC (UK), Quálitas (Mexique), U.S. Marshals Service (USA), Hoya Corp. (JPN), Austal (USA), Benetton Group (IT)… jusqu’à Integris Health, le plus grand réseau de soins de santé à but non lucratif de l’Oklahoma. Les données de 2,4 millions de personnes exfiltrées.

Ses cibles n’étaient pas choisies au hasard. L’intérêt stratégique est de mise. La santé, avec des données sensibles et l’urgence de réaction. L’industrie et la Défense, la capacité de nuisance, mais surtout la recherche et développement. « […] Après mûre réflexion et à la lumière des développements récents, nous avons décidé de fermer le projet Hunters International. […] » (Crédits : capture d’écran/Hunters International)

Il faut se remémorer les méthodes brutales, comme celle utilisée contre Fred Hutch Cancer Center (USA). Dans la plainte déposée, en page 10 est écrit que les patients recevaient des courriels menaçants. « Si vous lisez ceci, vos données ont été volées et seront bientôt vendues à divers courtiers en données et marchés noirs pour être utilisées dans des fraudes et d’autres activités criminelles. » Accompagné des données personnelles pour chaque destinataire : prénom, nom, adresse, numéro de dossier et informations médicales. Mais ils étaient aussi menacés d’une attaque dite « swatting ». Elle se produit lorsqu’une « fausse déclaration est faite aux forces de l’ordre afin que des agents d’intervention d’urgence, comme les équipes SWAT, se rendent au domicile d’une personne. »

Adaptation au marché

Après la fermeture programmée, au vu du message sur le site de fuites : « […] Après mûre réflexion et à la lumière des développements récents, nous avons décidé de fermer le projet Hunters International. […] », des questions demeurent. Surtout une : que font-ils désormais ? Alors que Hunters ferme, World Leaks apparaît : coïncidence ?

Le modèle business du ransomwware Hunters International n’est plus rentable. Donc ils publient un nouveau projet au 1er janvier : World Leaks (Silent). « Contrairement à Hunters International, qui combinait cryptage et extorsion, World Leaks (désormais Silent) opère comme un groupe d’extorsion uniquement en utilisant un outil d’exfiltration sur mesure », a déclaré Group-IB. Selon les opérateurs, le logiciel serait indétectable…
La stratégie de communication est basée sur un concept des années 1970 : le FUD. Il est l’acronyme de Fear, Uncertainty, and Doubt pour peur, incertitude et doute. Le logiciel malveillant utilisé par Hunters International est développé « dans Rust pour cibler les architectures x64, x86 et ARM, ainsi que les systèmes d’exploitation Windows, Linux, FreeBSD et SunOS. » (Crédits : capture d’écran/Silent)

Dorénavant, Hunters international cherchent juste l’exfiltration des données, comme un groupe d’extorsion. « Maintenant, notre tâche principale est le vol de données confidentielles des entreprises. Des données qui intéresseront tout le monde. » Ils changent leurs fusils d’épaules. Désormais seul le service IT sera informé. « Les notes sont reçues exclusivement par le service informatique et les dirigeants de l’entreprise, aucun employé ne sait rien du piratage ni des autres personnes extérieures. Nous chiffrons rarement les systèmes. » Les opérateurs indiquent avoir tout un département qui étudie soigneusement chaque dossier et trouve les plus avantageux. « Le prix sera très élevé s’il apparaît sur notre blog, ou s’il est vendu à des concurrents, sur le marché noir ou transféré aux bonnes personnes. »